Sziasztok!
Egy helyi hálózaton belül szeretnék csinálni egy elkülönített hálózatot. A helyi hálózat legyen 10.0.0.0/8, az elkülönített pedig 192.168.1.0/24.
Létrehoztam egy bridge-et, amiben az ether1-en kívül az összes port van, ennek adtam a 192.168.1.1 címet, az ether1-nek pedig 10.0.0.1-et.
Létrehoztam egy forrás nat szabályt, aminek a külső interfésze az ether1 (WAN lista tartalmazza):
chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none
Engedélyeztem a https-t, tiltottam a http-t. A belső interfészekről rá is tudok csatlakozni a router webes felületére, de az ether1 felől nem. A www-ssl szolgáltatásnál nem korlátoztam, honnan érhető el.
Ha a routeren próbálok pingelni, a bridge-et beállítva forrásnak, kilátok az Internetre is. Ha az ether1-et állítom be forrásnak, nem látom sem az Internetet, sem a 10.0.0.0-s hálózatot, és persze a 10.0.0.0-s hálózatból sem érem el a router 10.0.0.1-es címét. icmp engedélyezve van, megkötések nélkül.
Tűzfalszabályok:
chain=forward action=passthrough
chain=input action=accept connection-state=established,related,untracked
chain=input action=drop connection-state=invalid
chain=input action=accept protocol=icmp log=no log-prefix=""
chain=input action=accept protocol=tcp dst-port=443 log=no log-prefix=""
chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
chain=input action=drop in-interface-list=!LAN log=yes log-prefix=""
...
Valójában csak a második és az ötödik szabályon jelez csomagokat. Amikor a 10.0.0.1-et próbálom pingelni, nem jelez csomagokat a drop sorokon sem.
Hogyan érhetem el az ether1 interfészt?
Hozzászólások
Ha az első sort
chain=forward action=accept
tartalomra változtatod, akkor jobb lesz?
Az egy dinamikus szabály, azt nem változtathatom. De szerintem ha változtathatnám sem segítene, mert nem átmenő forgalommal van gondom.
a CRS125 az switch.
Nem mondom, hogy pár 10mbps internettel nem fogod tudni használni, de ennél többet NE VÁRJ tőle.
Ha tudja azt amit az adatlapja akkor azért nem rossz.
MikroTik Routers and Wireless - Products: CRS125-24G-1S-IN
Nekem ilyen routerem van, ami kb. ugyanaz a hardver, néhány pár 10 Megánál azért többet tud:
MikroTik Routers and Wireless - Products: RB2011UiAS-RM
Régen nekem is volt ilyenem otthoni router/switchként. NAT-olva olyan 200-240 mbps volt a vége. Arra már nem emlékszem, hogy az még a T-Home-os DHCP-s időkben volt vagy már digivel PPPoE-n.
Én hallgatnék a fenti tanácsra.
Routing tábla mit mutat? WAN oldalon mi a cím/subnet? Nincs ott ütközés az ether1-el?
Routing tábla:
A router wan oldala a 10.0.0.1, ez az ether1 címe. Nem teljesen értem a kérdésedet.
A 10.0.0.254 is rendben van, az a kijárat az Internet felé.
Az zavaros egy kicsit nekem, hogy így kezded: "Egy helyi hálózaton belül szeretnék csinálni egy elkülönített hálózatot. A helyi hálózat legyen 10.0.0.0/8"
Ehhez képest utána WAN hálózatként hivatkozol a 10.0.0.0/8-ra. Most akkor a kettő egy és ugyanaz? A /8 netmask honna jön? A szolgáltatód mit adott meg?
Pontosan. Elkülönített hálózatot nem dupla NAT-al, hanem VLAN-al és tűzfal szabályokkal csinálunk! (esetleg NAT nélküli static routing még képbe kerülhet)
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
Egy meglévő hálózatban akarom a routert lecserélni, mert elavult. Jelenleg így van kialakítva a hálózat elkülönítése. VPN-nel lehet hozzáférni a jogosultaknak a belső hálózathoz. Természetesen át lehetne szervezni a javasolt változatra is, de nem biztos, hogy ez oldja meg a problémámat (a belső interfészekről kijutok a külső lanba, sőt, az Internetre is).
Értem. Az én szempontomból két LAN van, a belső: 192.168.1.0/24, és a külső: 10.0.0.0/8. Ebből következően ezeket mi határoztuk meg, nem a szolgáltató.
A router szempontjából a 10.0.0.0/8-as WAN-nak számít, így értettem.
Köszi, így már világos. A 10.0.0.254-es végpontot is /8 netmask van beálítva?
Én köszönöm. Igen, a 10.0.0.254-es jól van beállítva (a Mikrotik belső interfészéről el is érhető, nem a 10.0.0.254-es routernél lesz a gond).
VAna mikrotikben quick sniffer, amivel jól lehet ezeket debuggolni. Próbáld a pinget, miközben ezt futtatod:
Itt van infó, hogy még mivel lehet szűrni a snifferben:
https://wiki.mikrotik.com/wiki/Manual:Tools/Packet_Sniffer
Semmit nem mutat a külső interfészen. Amikor a belsőről pingelek, és a belsőt figyelem, akkor mutatja a csomagokat természetesen.
Létezik, hogy ebben az esetben a switch chip csinálja a NAT-ot? Amennyire láttam a doksit, ilyet nem tud, viszont minden fentebb leírt dolog erre utal.....
switch chip nem NAT-ol. Létezik fastpath/fasttrack - de az switch chiptől független.
Megpróbáltam NAT nélkül: a 10.0.0.1-ről nem tudom pingelni a 10.0.0.254-et, sniffer ugyanúgy semmit nem jelez.
192.168.1.1-ről továbbra is tudom pingelni a 10.0.0.254-et.
output drop tűzfalszabályod nincs?
Nem volt.
Közben reseteltem a routert, frissítettem (egy éve volt utoljára), újra beállítottam. Most sikerült összehoznom az sstp vpn-t. Valami még mindig nem kerek, mert nem stabil, ledob. Először néhány másodperc után ledobott. Gyanús lett, hogy abban az épületben, ahol ez az eszköz is van, valami nem kerek a hálózattal. Rendesen átszerveztem, régi is, elég zűrös is volt (egy éve vagyok ezen a munkahelyen, nem én alakítottam ki a hálózatot). Most annyiban jobb a helyzet, hogy 10-15 perc után dobott csak le. Ami még furcsa, hogy a 10.0.0.1-es címet pingelve az első pingre jön válasz, a többire request timed out jön.